Linux’u etkileyen yeni bir rootkit (yeni sekmede açılır) Kötü amaçlı programları hem yükleme hem de gizleme yeteneğine sahip sistemler keşfedildi.
Avast’tan siber güvenlik araştırmacıları tarafından açıklandığı gibi, rootkit kötü amaçlı yazılım (yeni sekmede açılır)Syslogk adlı , Adore-Ng adlı eski, açık kaynaklı bir rootkit’e dayanmaktadır.
Aynı zamanda (aktif) gelişimin nispeten erken bir aşamasındadır, bu nedenle tam bir tehdide dönüşüp dönüşmeyeceği görülecektir.
Syslogk yüklendiğinde, önce girişini kurulu modüller listesinden kaldırır, yani onu tespit etmenin tek yolu /proc dosya sistemindeki açık bir arabirim aracılığıyladır. Kendisini manuel incelemeden gizlemenin yanı sıra, bırakılan kötü amaçlı yazılımı barındıran dizinleri, işlemleri ve ağ trafiğini gizleme yeteneğine de sahiptir.
Ama belki de en önemlisi – yükleri uzaktan başlatabilir veya durdurabilir.
Rekoobe’ye girin
Avast’ın araştırmacıları tarafından keşfedilen böyle bir yük, ELF:Rekoob veya daha yaygın olarak Rekoobe olarak bilinir. Bu kötü amaçlı yazılım, C ile yazılmış bir arka kapı truva atıdır. Syslogk, onu güvenliği ihlal edilmiş uç noktaya bırakabilir (yeni sekmede açılır)ve ardından kötü amaçlı yazılımın operatörlerinden bir “sihirli paket” alana kadar uykuda kalmasını sağlayın. Sihirli cep, kötü amaçlı yazılımı hem başlatabilir hem de durdurabilir.
Avast bir blog yazısında, “Syslogk rootkit’inin (ve Rekoobe yükünün) sahte bir SMTP sunucusuyla birlikte gizlice kullanıldığında mükemmel şekilde hizalandığını gözlemledik” dedi. “Bunun ne kadar gizli olabileceğini bir düşünün; bazı sihirli paketler makineye gönderilene kadar yüklenmeyen bir arka kapı. Sorgulandığında, bellekte gizlenmiş, diskte gizlenmiş, uzaktan ‘sihirli bir şekilde’ yürütülen, ağda gizlenmiş meşru bir hizmet gibi görünüyor. Ağ bağlantı noktası taraması sırasında bulunsa bile, yine de meşru bir SMTP sunucusu gibi görünüyor.”
Rekoobe’nin kendisi TinyShell’e dayanmaktadır, BleeBilgisayar açık kaynaklı ve yaygın olarak bulunan açıklıyor. Komutları yürütmek için kullanılır, yani hasarın verildiği yer burasıdır – tehdit aktörleri dosyaları çalmak, hassas bilgileri sızdırmak, hesapları ele geçirmek vb. için Rekoobe’u kullanır.
Kötü amaçlı yazılımın bu noktada tespit edilmesi de daha kolaydır, bu da dolandırıcıların saldırılarının ikinci aşamasını dağıtırken ve çalıştırırken ekstra dikkatli olmaları gerektiği anlamına gelir.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
